本文介紹了USB安全鑰及其技術(shù)，針對電子政務(wù)信息安全問題，提出將USB安全鑰應(yīng)用于電子政務(wù)系統(tǒng)，描述了電子政務(wù)系統(tǒng)USB安全鑰的體系結(jié)構(gòu)，講解了利用USB安全鑰構(gòu)建電子政務(wù)系統(tǒng)安全，最后對USB安全鑰應(yīng)用于電子政務(wù)系統(tǒng)進(jìn)行了實例分析。

　　一、電子政務(wù)系統(tǒng)

　　隨著計算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展，利用網(wǎng)絡(luò)為政府部門提供更優(yōu)質(zhì)的服務(wù)成為當(dāng)今社會的共識，電子政務(wù)(e-government)就是指政府機(jī)構(gòu)在其管理和服務(wù)職能中運(yùn)用現(xiàn)代信息技術(shù)，實現(xiàn)政府組織機(jī)構(gòu)和工作流程的重組優(yōu)化，超越時空和部門領(lǐng)域中的信息處理，是對電子政務(wù)業(yè)務(wù)所涉及的政務(wù)處理過程的通稱，電子政務(wù)已成為當(dāng)代信息化最重要的領(lǐng)域之一，電子政務(wù)建設(shè)也是我國今后一個時期信息化工作的重點。

　　電子政務(wù)作為信息網(wǎng)絡(luò)的一個特殊應(yīng)用領(lǐng)域，運(yùn)行著大量需要保護(hù)的數(shù)據(jù)和信息，有其自身特殊性，如果系統(tǒng)的安全性被破壞，造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件，可能導(dǎo)致嚴(yán)重的后果，電子政務(wù)系統(tǒng)也必然成為信息間諜、敵對勢力、恐怖集團(tuán)、國家之間信息戰(zhàn)攻擊的目標(biāo)。因此，構(gòu)建電子政務(wù)信息安全保障體系，將變得尤為重要。

　　目前電子政務(wù)系統(tǒng)安全措施最常用的就是使用用戶名加口令的方式，但這也是最原始、最不安全的身份確認(rèn)方式，非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導(dǎo)致合法用戶身份被偽造等，電子政務(wù)系統(tǒng)必須解決雙方身份認(rèn)證問題以及身份認(rèn)證后數(shù)據(jù)安全傳輸問題。解決第一個問題時我們可以使用數(shù)字簽名技術(shù)，而解決第二個問題時可以使用加/解密技術(shù)，在這兩項技術(shù)中的關(guān)鍵點就是簽名和加密所用的私鑰，基于USB的隨身攜帶，熱插拔、傳輸速度快以及硬件等優(yōu)勢，將私鑰存儲于USB硬件中，結(jié)合加密算法，可以比較好地解決電子政務(wù)系統(tǒng)中身份認(rèn)證以及數(shù)據(jù)加密傳輸問題。

　　二、USB安全鑰及其技術(shù)介紹

　　USB，是通用串行總線(Universal Serial Bus)的簡稱，它已成為計算機(jī)與外設(shè)之間進(jìn)行數(shù)據(jù)交換的主流總線協(xié)議。USB安全鑰是以現(xiàn)代密碼學(xué)的先進(jìn)密碼體制為基礎(chǔ)，利用USB硬件優(yōu)勢集加密、認(rèn)證及數(shù)字簽名等技術(shù)于一體，具有高安全性、高處理速度的秘密數(shù)據(jù)存儲設(shè)備，它具有以下特點：

　　(1)帶有安全存儲空間

　　USB安全鑰具有比較大的安全數(shù)據(jù)存儲空間，可以存儲數(shù)字證書、用戶密鑰等秘密數(shù)據(jù)，對該存儲空間的讀寫操作必須通過程序?qū)崿F(xiàn)，用戶無法直接讀取，其中用戶私鑰是不可導(dǎo)出的，杜絕了復(fù)制用戶數(shù)字證書或身份信息的可能性。

　　(2)具有硬件PIN碼保護(hù)

　　每一個USB安全鑰都具有硬件PIN碼保護(hù)，PIN碼和硬件構(gòu)成了用戶使用USB安全鑰的兩個必要因素，即所謂“雙因子認(rèn)證”。用戶只有同時取得了USB 安全鑰和用戶PIN碼，才可以登錄電子政務(wù)系統(tǒng)。即使用戶的PIN碼被泄漏，只要用戶持有的USB安全鑰不被盜取，合法用戶的身份就不會被仿冒;如果用戶的USB安全鑰遺失，拾到者由于不知道用戶PIN碼，也無法仿冒合法用戶的身份。

　　(3)硬件實現(xiàn)加密算法

　　USB安全鑰內(nèi)置CPU或智能卡芯片，可以實現(xiàn)PKI體系中使用的數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法，加解密運(yùn)算在USB安全鑰內(nèi)進(jìn)行，保證了用戶密鑰不會出現(xiàn)在計算機(jī)內(nèi)存中，從而杜絕了用戶密鑰被黑客截取的可能性。

　　(4)兼容性好

　　由于設(shè)備本身符合USB各項協(xié)議定義，在不同的計算機(jī)平臺(PC、MAC等)和操作系統(tǒng)(WINDOWS、UNIX等)中均能使用，具有很好的兼容性。

　　三、電子政務(wù)系統(tǒng)USB安全鑰的體系結(jié)構(gòu)

　　USB安全鑰在電子政務(wù)系統(tǒng)中扮演著“安全衛(wèi)士”的作用，其體系結(jié)構(gòu)如圖1所示。

　　圖1 USB電子政務(wù)USB安全鑰體系結(jié)構(gòu)

　　四、使用USB安全鑰構(gòu)建電子政務(wù)系統(tǒng)安全

　　使用USB安全鑰構(gòu)建電子政務(wù)系統(tǒng)的身份識別、數(shù)據(jù)傳輸應(yīng)用的安全，身份安全可以采用PKI認(rèn)證，應(yīng)用安全可采用CA認(rèn)證。

　　(1)基于公開密鑰體系(PKI)的認(rèn)證

　　PKI 就是 Public Key Infrastructure 的縮寫，也就是所謂“公開密鑰體系”，它是一種利用現(xiàn)代密碼學(xué)的公鑰密碼技術(shù)在公開的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的技術(shù)框架。PKI通過延伸到用戶本地的接口，為各種應(yīng)用提供安全的服務(wù)，如身份識別、認(rèn)證、數(shù)字簽名、加密等來解決網(wǎng)絡(luò)安全問題。使用公開的密鑰算法(也稱非對稱加密算法)的用戶同時擁有匹配的公鑰和私鑰。私鑰由用戶保存，且不能泄露，公鑰則要廣泛公開的發(fā)布。私鑰無法通過公鑰計算獲得。公開密鑰體系的作用不僅可用于安全密鑰交換，還可用于鑒別用戶的身份，下面將就如何鑒別用戶身份進(jìn)行簡要描述。

　　當(dāng)服務(wù)器端需要驗證客戶端的身份時，服務(wù)器端產(chǎn)生一個隨機(jī)數(shù)R，發(fā)送給客戶端，客戶端通過USB接口，把隨機(jī)數(shù)R傳送入USB安全鑰中，使用自己的私鑰對隨機(jī)數(shù)進(jìn)行加密，并把加密結(jié)果傳給服務(wù)器端，服務(wù)器端通過使用客戶的公鑰對接收到的加密數(shù)據(jù)進(jìn)行解密，對比解密后的數(shù)是否和隨機(jī)數(shù)R一致，一致就通過驗證。

　　(2)基于CA機(jī)構(gòu)的認(rèn)證

　　為保證電子政務(wù)系統(tǒng)用戶之間在網(wǎng)上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進(jìn)行驗證，也需要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)。CA (Certificate Authority)機(jī)構(gòu)，又稱為證書授證中心，它是以數(shù)字證書為核心的加密技術(shù)，負(fù)責(zé)發(fā)放和管理數(shù)字證書，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任。CA認(rèn)證可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及電子政務(wù)發(fā)送、接收實體身份的真實性，簽名信息的不可否認(rèn)性，從而保障電子政務(wù)系統(tǒng)應(yīng)用的安全性。

　　數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰)，用它進(jìn)行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開，用于加密和驗證簽名。當(dāng)電子政務(wù)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私鑰才能解密。

　　五、USB安全鑰在電子政務(wù)中的應(yīng)用實例

　　為了進(jìn)一步說明USB安全鑰在電子政務(wù)中起到的重要作用，現(xiàn)就電子政務(wù)系統(tǒng)身份認(rèn)證的一個應(yīng)用實例作以說明，如圖2所示。

　　圖2 USB 安全鑰在電子政務(wù)中的應(yīng)用

　　首先用戶將USB安全鑰插入電子政務(wù)系統(tǒng)PC，PC讀出安全鑰的ID號;然后用戶輸入自己的用戶名和密碼，PC將其和安全鑰的ID一起通過網(wǎng)絡(luò)發(fā)往服務(wù)器并請求服務(wù)器對用戶進(jìn)行身份認(rèn)證;服務(wù)器從PC得到安全鑰的ID、用戶名和密碼后從數(shù)據(jù)庫中提取相應(yīng)的用戶信息，同時生成一個隨機(jī)數(shù)R并發(fā)往PC，PC 再將收到的隨機(jī)數(shù)R傳遞給USB 安全鑰;USB 安全鑰使用內(nèi)部存儲的密鑰和算法與該隨機(jī)數(shù)進(jìn)行運(yùn)算得到一個結(jié)果作為認(rèn)證證據(jù)，加密后發(fā)回PC，PC 再將加密結(jié)果傳遞給服務(wù)器，服務(wù)器解密PC 發(fā)來的加密數(shù)據(jù)得到一個需驗證的密鑰;與此同時服務(wù)器也使用從數(shù)據(jù)庫提取的信息與該隨機(jī)數(shù)R進(jìn)行運(yùn)算獲得正確的密鑰，如果兩個密鑰相符就認(rèn)為用戶的身份合法，否則不合法;最后服務(wù)器將用戶身份的認(rèn)證結(jié)果發(fā)往PC，電子政務(wù)系統(tǒng)根據(jù)認(rèn)證結(jié)果提供或是拒絕服務(wù)。

　　USB安全鑰應(yīng)用于電子政務(wù)系統(tǒng)中，可以較好地解決電子政務(wù)系統(tǒng)中身份認(rèn)證以及數(shù)據(jù)加密傳輸問題，保障了政務(wù)的安全傳送和處理，為各級政府部門及時掌握和處理信息提供一個先進(jìn)、可靠、實用、安全保密的系統(tǒng)，達(dá)到借助電子政務(wù)系統(tǒng)的建設(shè)，提高政府工作效率、政府工作透明化，充分做到執(zhí)政為民的目的。USB安全鑰技術(shù)在不斷發(fā)展、成熟，研制自主知識產(chǎn)權(quán)產(chǎn)品并應(yīng)用于各重要安全領(lǐng)域必將成為電子政務(wù)建設(shè)的重要保障。